【文章內(nèi)容簡介】 P GUI客戶端；252。 252。簡化SAP客戶端維護(hù)，避免由于對客戶端的維護(hù)導(dǎo)致影響數(shù)據(jù)及時錄入，提升數(shù)據(jù)的時效性；252。 252。降低SAP對終端PC的配置要求；252。 252。高效利用網(wǎng)絡(luò)帶寬，解決遠(yuǎn)程低帶寬移動客戶訪問SAP系統(tǒng)的低效率問題；252。 252?？焖賹崿F(xiàn)從C/S到B/S的訪問方式轉(zhuǎn)變；252。 252。提高密碼安全性，利用單一密碼訪問所有被授權(quán)使用的應(yīng)用；252。 252。保障生產(chǎn)業(yè)務(wù)連續(xù)性，保證客戶對SAP的不間斷訪問。于2012年初采用某接入平臺進(jìn)行了ERP客戶端集中部署的試點成功后，于9月份開始實施5省銷售公司的ERP客戶端集中項目，在某總部數(shù)據(jù)中心實施總計近5000用戶的SAP GUI集中部署。某平臺于11月10日和SAP ERP系統(tǒng)一起正式上線，投入運(yùn)行。 技術(shù)方案SAP系統(tǒng)的總體架構(gòu)不變，后臺SAP服務(wù)器也沒有改變，只是在原來的用戶客戶端和SAP服務(wù)器之間增加了某服務(wù)器集群，原先需要安裝在用戶客戶端的SAP GUI軟件現(xiàn)在安裝在某服務(wù)器上，多用戶同時訪問時，SAP GUI以多進(jìn)程方式在某服務(wù)器集群上運(yùn)行?？傮w架構(gòu)如下圖所示：圖：總體架構(gòu)圖通過這樣的部署結(jié)構(gòu)，最終用戶對SAP的訪問依賴于服務(wù)器計算能力和數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)，不再依賴于廣域網(wǎng)和終端設(shè)備，因此通過配置高性能的中心服務(wù)器，可以使得遠(yuǎn)程用戶像在局域網(wǎng)內(nèi)一樣使用SAP系統(tǒng)。某服務(wù)器集群通過負(fù)載均衡技術(shù)實現(xiàn)了7X24小時的業(yè)務(wù)連續(xù)性，無論用戶客戶端或者服務(wù)器出現(xiàn)單點故障，均不影響用戶對SAP系統(tǒng)的訪問。并且對用戶端的網(wǎng)絡(luò)依賴性降低，每個用戶只需要10K～20K的帶寬就可以享受到局域網(wǎng)內(nèi)使用SAP的性能。 項目收益通過ERP客戶端集中部署項目，獲得了如下收益包括：系統(tǒng)安全性通過某平臺，可以方便地實現(xiàn)應(yīng)用接入的安全控制。隱藏業(yè)務(wù)應(yīng)用服務(wù)器及數(shù)據(jù)庫主機(jī)。應(yīng)用的安裝、升級和維護(hù)只發(fā)生在后臺服務(wù)器上，用戶不能接觸、修改應(yīng)用配置，也不知道服務(wù)器在什么位置，但可以正常使用，可以有效保證主機(jī)的安全。用戶可以基于權(quán)限控制要求接觸不同的應(yīng)用。不同的用戶根據(jù)工作需要和控制要求，配置使用不同的應(yīng)用。避免出現(xiàn)應(yīng)用安裝軟件隨處可見，隨便安裝和使用。應(yīng)用連續(xù)性客戶端網(wǎng)絡(luò)有時會出現(xiàn)臨時中斷，原來的客戶端方式會引發(fā)SAP系統(tǒng)交易鎖定，這時需要后臺管理員解鎖，即使得最終用戶感覺不便，又增加了支持中心的壓力。采用某平臺訪問后，網(wǎng)絡(luò)中斷只是會話暫停，不再影響交易，用戶只需等待網(wǎng)絡(luò)恢復(fù)即可繼續(xù)交易。另外如果用戶本地客戶端故障，用戶可以馬上登陸備用機(jī)或其他人的機(jī)器繼續(xù)工作，而不用擔(dān)心業(yè)務(wù)中斷或數(shù)據(jù)泄露等問題。維護(hù)方便性通過某平臺，各種應(yīng)用部署、配置和升級體現(xiàn)出了快速化和準(zhǔn)確性。傳統(tǒng)解決方案及其帶來的麻煩：（一）通過郵寄安裝光盤或者網(wǎng)絡(luò)傳輸安裝軟件，直接或間接到達(dá)所有遠(yuǎn)近終端上，進(jìn)行安裝。讓管理人員在每個終端上都安裝客戶程序會耗費大量的時間和精力，或占用有限的網(wǎng)絡(luò)帶寬。而更加復(fù)雜的配置將需要IT人員的支持，甚至到現(xiàn)場處理，由此將發(fā)生高昂的差旅開銷。（二）手工、或者自動升級客戶端軟件。出現(xiàn)令人頭疼的卻又難以避免的升級失敗和事后處理，以及得不到有效控制的升級遺漏，致使舊軟件的繼續(xù)使用。某解決方案帶來的便捷高效：（一）在中心服務(wù)器安裝部署應(yīng)用，發(fā)布給用戶使用。IT技術(shù)人員只要在后臺進(jìn)行應(yīng)用的安裝、配置和測試。一經(jīng)測試通過即可發(fā)布給用戶使用。部署花費少，時間以小時計，無需復(fù)雜的部署安排和時間控制。只要網(wǎng)絡(luò)暢通，一個通知，各地用戶就可以使用。對于 SAP，只要在后端進(jìn)行SAPGUI的安裝配置和發(fā)布。（二）應(yīng)用軟件的升級和維護(hù)。應(yīng)用的升級和維護(hù)也只發(fā)生在后臺服務(wù)器上，用戶甚至無所察覺。并且可以確保無一遺漏，用戶使用軟件版本決無差異。（三）所有的客戶端都可以實現(xiàn)免維護(hù)。最多就是本地系統(tǒng)網(wǎng)絡(luò)配置和ICA的客戶端安裝。更短的時間，同一個版本，同時生效。只需傳統(tǒng)方式幾十分之一的時間即可快速、準(zhǔn)確地完成200個用戶的應(yīng)用部署?？紤]實際情況，耗時比率會更低。而后新增用戶的應(yīng)用部署將花費更少時間。降低成本某平臺延長了現(xiàn)有終端設(shè)備使用期限。保護(hù)已有投資。企業(yè)經(jīng)過多年的建設(shè)，存在有各種檔次的硬件設(shè)備，功能和性能各不相同。在經(jīng)過實際測試，一臺2001年的奔騰機(jī)器（PIII750，128M內(nèi)存）一樣可以很好地完成思杰部署的業(yè)務(wù)應(yīng)用。延長設(shè)備更新周期。通過使用思杰接入系統(tǒng)，在延長現(xiàn)有設(shè)備使用期限的情況下，使得設(shè)備采購間隔得以延長。設(shè)備的更新關(guān)注在那些故障頻發(fā)老化設(shè)備上。減少設(shè)備更新花費。 企業(yè)分支機(jī)構(gòu)快速擴(kuò)張和部署解決方案 背景目前，很多商業(yè)企業(yè)正致力于跨區(qū)域發(fā)展。這些企業(yè)積極推進(jìn)管理創(chuàng)新和金融技術(shù)創(chuàng)新，努力打造公司企業(yè)、零售公司、個人企業(yè)、信用卡、金融市場五大利潤中心，實現(xiàn)利潤來源多元化。隨著企業(yè)網(wǎng)點的快速擴(kuò)張，及各項業(yè)務(wù)的開展，業(yè)務(wù)需求對IT應(yīng)用和IT基礎(chǔ)構(gòu)架的要求也越來越高。不但要求IT系統(tǒng)的各應(yīng)用能夠快速滿足各種新業(yè)務(wù)的要求，對于網(wǎng)絡(luò)安全、管理等基礎(chǔ)構(gòu)架也帶來了更高的要求和更大的壓力。而且，由于企業(yè)的快速擴(kuò)張，IT部門的人手也嚴(yán)重不足，進(jìn)一步加劇了矛盾。所以需要有一個系統(tǒng)的解決方案，幫助這些企業(yè)的IT部門來應(yīng)對這一系列挑戰(zhàn)。 需求為了應(yīng)對這些挑戰(zhàn)，企業(yè)的IT構(gòu)架需要解決以下幾個關(guān)鍵的問題：支持分支機(jī)構(gòu)快速擴(kuò)張的基礎(chǔ)構(gòu)架 因為短期內(nèi)分支機(jī)構(gòu)的快速擴(kuò)張，需要有一套IT構(gòu)架，能夠適應(yīng)這樣速度的擴(kuò)張。能夠在最短時間內(nèi)，快速建立新的分支機(jī)構(gòu)的IT環(huán)境的部署。同時系統(tǒng)要能夠有良好的可擴(kuò)展性來支持日益增長的系統(tǒng)容量。解決終端和應(yīng)用的管理和安全問題 由于存在大量的分支機(jī)構(gòu)，終端網(wǎng)點的客戶端的安全和管理問題的矛盾也越來越突出。由于網(wǎng)點終端分散于各個網(wǎng)點，加上網(wǎng)點的IT管理力量薄弱，對于這些終端的維護(hù)和管理的挑戰(zhàn)性十分大。采用傳統(tǒng)的PC+本地安裝客戶端模式，初始安裝和配置需要大量的工作量。日后的應(yīng)用升級、維護(hù)，往往需要IT管理人員訪問現(xiàn)場，其速度和成本也非常高。同時，如何保證這些分散的客戶端的安全也是需要重點考慮的問題。在生產(chǎn)網(wǎng)絡(luò)中，任何一臺受到病毒或木馬感染的客戶端，都可能直接影響到整個網(wǎng)點，乃至整個生產(chǎn)網(wǎng)絡(luò)的正常生產(chǎn)。同時，如何保護(hù)重要應(yīng)用中的敏感信息的保密，也是需要著重考慮的問題?？绨踩謪^(qū)訪問業(yè)務(wù)應(yīng)用 由于企業(yè)網(wǎng)絡(luò)安全要求的特殊性，其網(wǎng)絡(luò)往往劃分為多個相互隔離的安全分區(qū)，如辦公網(wǎng)，開發(fā)網(wǎng)，生產(chǎn)網(wǎng)等。多個安全分區(qū)之間用防火墻互相隔離。但是由于不少業(yè)務(wù)應(yīng)用，需要跨安全分區(qū)進(jìn)行訪問，這就需要在防火墻上打開相應(yīng)的端口。由于應(yīng)用對通信和端口的要求千變?nèi)f化，而且隨著應(yīng)用的構(gòu)架變化和版本升級，往往防火墻規(guī)則也需要做相應(yīng)修改。這樣不但增加了管理負(fù)擔(dān)，而且也帶來了一定的安全隱患。分支機(jī)構(gòu)訪問應(yīng)用的速度問題 對于分支機(jī)構(gòu)，不但存在終端和應(yīng)用的管理問題，應(yīng)用的訪問速度也是用戶十分關(guān)注的指標(biāo)。由于企業(yè)的應(yīng)用絕大部分采用集中的后端，及越來越多使用B/S構(gòu)架，其操作響應(yīng)速度往往不夠理想。這就要求新的解決方案能夠很好地優(yōu)化分支機(jī)構(gòu)的用戶對各種應(yīng)用的訪問和響應(yīng)速度。安全的開發(fā)環(huán)境 企業(yè)的開發(fā)部門由于企業(yè)的業(yè)務(wù)特殊性，對開發(fā)環(huán)境和文檔管理環(huán)境的安全性要求較高。而由于企業(yè)業(yè)務(wù)的飛速拓展，企業(yè)開發(fā)項目中，往往還會牽涉到很多第三方公司和外包項目。這對開發(fā)系統(tǒng)的安全構(gòu)成了極大的挑戰(zhàn)。需要有一套環(huán)境，能夠讓開發(fā)項目的員工及外包員工，能夠在受控環(huán)境下，進(jìn)行相關(guān)應(yīng)用的開發(fā)和調(diào)試，同時能有效保護(hù)應(yīng)用代碼及企業(yè)數(shù)據(jù)的安全。要應(yīng)對以上的這些挑戰(zhàn)，采用傳統(tǒng)的PC機(jī)加管理軟件的方式，不能完全有效地解決這些矛盾。通過某應(yīng)用交付中心的解決方案，是客戶端系統(tǒng)和應(yīng)用管理方式的變革，能從另一種思路來解決這些安全和管理的問題，達(dá)到傳統(tǒng)方式無法達(dá)到的理想效果。以此使企業(yè)的客戶端和應(yīng)用管理水平邁上一個新的臺階，能適應(yīng)企業(yè)業(yè)務(wù)快速拓展的需要。 問題分析企業(yè)終端和應(yīng)用的安全和管理的挑戰(zhàn)是使用傳統(tǒng)計算模式情況下，非常普遍的問題。由于PC的特點，PC終端的安全和管理一直是業(yè)界困擾的問題。 傳統(tǒng)模式的弊端下圖是傳統(tǒng)的計算模式構(gòu)架圖：從傳統(tǒng)構(gòu)架來看，有這樣幾個特點：1. 客戶端需要在終端部署，初期安裝以及后期維護(hù)工作量巨大。維護(hù)成本高。2. 由于應(yīng)用客戶端直接部署終端，業(yè)務(wù)數(shù)據(jù)會直接在數(shù)據(jù)中心到網(wǎng)點的網(wǎng)絡(luò)中進(jìn)行傳輸。3. 由此，為了滿足傳輸?shù)陌踩?，必須對傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以防被截獲。加密一般通過應(yīng)用本身的設(shè)計或者使用專門的網(wǎng)絡(luò)層的加密設(shè)備，如VPN等來實現(xiàn)。4. 此外，大部分應(yīng)用還會將數(shù)據(jù)緩存與客戶端的本地。在本地的數(shù)據(jù)也需要加密和訪問控制，才能保證數(shù)據(jù)的安全。5. 要實現(xiàn)從傳輸過程，到本地數(shù)據(jù)的安全和保密，對應(yīng)用的要求很高。很多應(yīng)用并沒有對數(shù)據(jù)的安全性作很好的考量。改造應(yīng)用，或者通過其他產(chǎn)品來實現(xiàn)加密等，實現(xiàn)非常困難，安全漏洞很多。6. 應(yīng)用直接部署于客戶端，也使應(yīng)用客戶端本身暴露于分析、掃描、反向工程、破解等等各種安全攻擊的威脅下。7. 對于跨安全分區(qū)的應(yīng)用，每個應(yīng)用，都需要分別配置防火墻上的策略。打開過多的地址和端口，也對安全造成一定的影響。同時，一旦應(yīng)用服務(wù)器的部署有所變化，也需要對策略作相應(yīng)的調(diào)整，非常不靈活。8. 由于很多應(yīng)用沒有對遠(yuǎn)程網(wǎng)絡(luò)訪問進(jìn)行優(yōu)化，導(dǎo)致應(yīng)用訪問速度非常不理想?？蛻趔w驗差，影響工作效率。綜合起來看，傳統(tǒng)模式由于其分散的本質(zhì)，及客戶端應(yīng)用和數(shù)據(jù)直接存于遠(yuǎn)程的終端之上，管理復(fù)雜，要保證其安全十分困難。其面臨的安全攻擊面較高。傳統(tǒng)解決方案必須從傳輸，保存，端點及運(yùn)行環(huán)境等各個環(huán)節(jié)都保證安全，所以有了防火墻，終端管理軟件、終端防病毒軟件、入侵檢測、網(wǎng)絡(luò)加密設(shè)備等等各種解決方案和產(chǎn)品。其實現(xiàn)安全的代價高，效果往往仍不理想。所以，一味地從傳統(tǒng)方案入手，而不改變其構(gòu)架，問題隱患并沒有從根本上得到解決。 某模式帶來的變化我們來看一看某的方式，如何通過改變整體的計算構(gòu)架，來使整個問題的解決變得簡單化。某模式的核心是：1. 在數(shù)據(jù)中心集中部署應(yīng)用客戶端。2. 使用應(yīng)用虛擬化技術(shù)，使集中部署的應(yīng)用能在各網(wǎng)點的PC和瘦客戶端上使用。下圖是使用某模式帶來的變化從某的模式，可以看到有以下幾個變化及特點：1. 應(yīng)用客戶端集中部署于位于數(shù)據(jù)中心的某服務(wù)器上。終端設(shè)備上無需部署應(yīng)用。由此，可以實現(xiàn)應(yīng)用管理的集中化，大大減輕分支機(jī)構(gòu)終端和應(yīng)用的維護(hù)壓力。2. 由于應(yīng)用客戶端不在終端直接部署，在終端對應(yīng)用客戶端進(jìn)行掃描、破解、反向工程等攻擊基本不可能。3. 由于應(yīng)用客戶端在數(shù)據(jù)中心，所以原始業(yè)務(wù)數(shù)據(jù)的傳輸也只在數(shù)據(jù)中心的范圍內(nèi)。數(shù)據(jù)中心的網(wǎng)絡(luò)安全性一般能有保障。4. 在數(shù)據(jù)中心到終端網(wǎng)點的網(wǎng)絡(luò)中傳輸?shù)氖墙?jīng)過某協(xié)議加密的屏幕刷新和鍵盤鼠標(biāo)操作等信息。該數(shù)據(jù)很難被截獲破解，即使被截獲破解以后，其提供的信息也十分有限。能十分好的保護(hù)原始數(shù)據(jù)信息。5. 應(yīng)用客戶端的本地數(shù)據(jù)存儲實際存于數(shù)據(jù)中心的服務(wù)器，其安全性也能得到保證。6. 由于客戶端集中部署于數(shù)據(jù)中心，其與后臺應(yīng)用服務(wù)器之間的連接速度良好，從而，使應(yīng)用的反應(yīng)速度有所保證。而從某服務(wù)器至用戶客戶端，使用的VAP協(xié)議，對于各種網(wǎng)絡(luò)環(huán)境，特別是低帶寬、高延時的網(wǎng)絡(luò)有良好的優(yōu)化。從而使遠(yuǎn)程的分支機(jī)構(gòu)，訪問應(yīng)用的速度和用戶體驗大大增強(qiáng)。7. 對于需要跨安全分區(qū)訪問的應(yīng)用，以往，不同的應(yīng)用需要開放不同的IP地址段和端口，現(xiàn)在，只需要配置從客戶端至某服務(wù)器的策略即可。即使應(yīng)用改變，也無須改變防火墻策略?？偨Y(jié)來說，由于傳統(tǒng)模式客戶端直接訪問后臺時，之間傳輸?shù)臄?shù)據(jù)是真實的企業(yè)應(yīng)用數(shù)據(jù)，該數(shù)據(jù)會被緩存在用戶本地或在傳輸中被截獲，這些都是不安全因素；而用戶訪問某 ThinApp服務(wù)器時，之間傳輸?shù)氖瞧聊辉隽孔兓畔⒑褪髽?biāo)鍵盤變化信息，用戶端無任何應(yīng)用數(shù)據(jù)緩存在本地，同時中途截獲這些信息然后反推出用戶真正的業(yè)務(wù)操作和數(shù)據(jù)比直接截獲業(yè)務(wù)數(shù)據(jù)困難上千倍。因而可以說是用某 ThinApp平臺后，數(shù)據(jù)總是存放在最安全的地方。某 ThinApp帶來的最大益處是采用應(yīng)用虛擬化方式阻止數(shù)據(jù)任何時候離開數(shù)據(jù)中心。由于其集中的構(gòu)架，帶來的安全的優(yōu)勢十分明顯。 企業(yè)集中開發(fā)管理平臺解決方案隨著很多企業(yè)產(chǎn)品開發(fā)部承接的IT開發(fā)項目的數(shù)量增加與規(guī)模擴(kuò)大，與外部公司的合作日益密切，項目開發(fā)環(huán)境的管理更加復(fù)雜，安全管理的要求也日益提升。為此，需要建立一個簡單、易用、安全的集中開發(fā)管理平臺，以有效進(jìn)行開發(fā)環(huán)境的規(guī)范管理，支持可控的外部合作公司的遠(yuǎn)程開發(fā)模式，同時保護(hù)重要數(shù)據(jù)與代碼的安全，并能對重要系統(tǒng)操作進(jìn)行跟蹤和審計。 功能需求1. 集中管理：可將開發(fā)環(huán)境中的應(yīng)用軟件進(jìn)行集中管理，可以根據(jù)需要隨時調(diào)整開發(fā)環(huán)境的應(yīng)用部署，簡化開發(fā)人員客戶端的開發(fā)環(huán)境配置及部署要求。2. 應(yīng)用發(fā)布：具有包括各類開發(fā)工具在內(nèi)的應(yīng)用軟件發(fā)布功能和Web網(wǎng)頁發(fā)布功能，要求支持發(fā)布的應(yīng)用軟件列表參見附錄。3. 存儲隔離：每個用戶能建立各自的文件系統(tǒng)或存儲空間，相互之間不能訪問。但授權(quán)用戶可以訪問特定用戶組的存儲空間，可以通過FTP或者其它方式獲取用戶存儲空間的數(shù)據(jù)。4. 數(shù)據(jù)保護(hù)：所有的代碼及業(yè)務(wù)數(shù)據(jù)只在服務(wù)器端傳遞，提高系統(tǒng)數(shù)據(jù)訪問的安全性。5. 遠(yuǎn)程接入：支持外部合作公司遠(yuǎn)程接入的項目開發(fā)模式，能有效控制用戶的剪貼板、本地硬盤、打印機(jī)、端口等操作，做到合作公司人員未經(jīng)授權(quán)無法從任何渠道獲取項目的代碼、文檔和業(yè)務(wù)數(shù)據(jù)。6. 訪問控制：對于合作公司的遠(yuǎn)程訪問要求能有效控制，包括登錄時間段、登錄用戶的監(jiān)控。要求能穿越防火墻（能夠NET轉(zhuǎn)換）訪問到服務(wù)器。7. 訪問日志：用戶登錄及對開發(fā)工具和應(yīng)用軟件的訪問，應(yīng)該有日志記錄。操作錄像：對于應(yīng)用軟件的操作需要有屏幕錄像功能。用戶和應(yīng)用可以分別控制是否需要錄像，錄像時間段范圍可配置。能快速根據(jù)指定條件查詢錄像文件，錄像文件可以自動清理，并能設(shè)置錄像文件保留期限。 技術(shù)需求1. 水平擴(kuò)展：服務(wù)器端支持水平擴(kuò)展，能通過水平增加服務(wù)器來適應(yīng)業(yè)務(wù)需求的擴(kuò)大。2. 負(fù)載均衡：可根據(jù)用戶訪問量和資源使用情況，動態(tài)分配到到負(fù)載量最低的服務(wù)器上。可支持手動負(fù)載均衡操作。3. 本地輸入法：用戶接入要求支持中文界面，可以